频道直达 - 专题 - 新闻 - 技巧 - 组网 - 开发 - 安全 - web编程 - 图像 - 操作系统 - 数据库 - 教育 - 旅游 - 健康 - 时尚 - 驱动 - 软件 - 游戏 - 多媒体 - ERP - 讨论组
阅读排行榜 | 收藏此文 | 收藏本站 | 设为首页

Backdoor.Robobot.or

来源:rising 作者: 出处:巧巧读书 2006-03-11 进入讨论组
病毒分类   WINDOWS下的PE病毒 病毒名称   Backdoor.Robobot.or  
别    名      病毒长度    
依赖系统    传播途径     
行为类型   WINDOWS下的木马程序 感    染     
病毒发作  

这是一个Visual C++编写的后门程序。

程序运行后首先检测系统中是否存在下面的两个命名互斥量:

"6534C64A-Z454-122E-BFC6-083C2BF4S668"
"6534C64A-Z454-122E-BFC6-083C2BF4S551"

如果存在则不继续运行。这样可以保证一个系统中只有一个这个病毒实例在运行。如果上面的两个互斥量均不存在,程序则创建一个名为"6534C64A-Z454-122E-BFC6-083C2BF4S669"的互斥量。

之后,程序把自己复制到%HOMEPATH%\Application Data\Microsoft\和%SystemRoot%\System\目录下,改名为csrss.exe并运行。

程序会试图下载"http://upseek.org/u/upd_0003.exe"到用户的临时文件夹中并执行。

该程序还会试图链接下列网站:

re.maingrond.com
re.metorez.com
re.fedorez.com

病毒为了更好地隐藏和破坏,还会关闭Windows Security Center Service(Windows安全中心服务)wscsvc并删除这个服务的注册表项。同时试图在Windows Firewall/Internet Connection Sharing (ICS)服务(SharedAccess,为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护的服务)的可信赖列表(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List)中添加一个%VirusFileName%:*:Enabled:Microsoft Update项。如果添加成功则重新启动SharedAccess服务,否则停止SharedAccess服务并删除注册表中的服务项。

程序还会停止以下杀毒软件的服务并在注册表中删除其对应的键值:

KAVPersonal50
wuauserv
navapsvc
Symantec Core LC
SAVScan
kavsvc

完成上面的行为后,病毒会一次启动3个主要的线程完成伪造、发送恶意邮件,开放一个端口供客户端软件链接实现远程控制计算机和企图链接IRC频道发送消息等功能。

备    注



本文:http://www.qqread.com/virusdb/o292875207.html进入讨论组讨论。
更多专题 【深 度 阅 读】 相 关 文 章
收藏此文】【 】【打印】【关闭
较早的文章:JS.DL.Agent.k

较新的文章:Exploit.PHP.MySQL-CF
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
巧巧读书宗旨
相关专题
更多排行>>
讨论组问题推荐
站内各频道最新更新文档
站内最新制作专题
热门关键字导读
Photoshop教 程照片处理 照片制作 PS快捷键 抠图
计 算 机 故 障XP系统修复
艺 术 与 设 计设计 流媒体 设计欣赏 边框
计 算 机 安 全ARP
站内频道文章精选
新闻资讯
操作系统
桌面开发
数据库
电脑技巧
常用软件
网络程序开发
图像处理
巧巧电脑频道编辑信箱  告诉我们您想看的专题或文章